Nhà nghiên cứu bảo mật Tavis Ormandy thuộc Google Project Zero, vừa phát hiện một loạt lỗ hổng có trong tiện ích mở rộng của LassPass trên trình duyệt Chrome lẫn Firefox.
Ba lỗ hổng có trên dịch vụ lưu trữ mật khẩu phổ biến LastPass vừa được phát hiện. ẢNH: AFP
Theo Engadget, Ormandy là người từng gây chú ý khi phát hiện ra một số vấn đề về bảo mật có trong trình quản lý mật khẩu phổ biến LastPass, và báo cáo mới của nhà nghiên cứu bảo mật này tiếp tục cho thấy có ít nhất một lỗ hổng chưa được vá trong LastPass mà ở đó kẻ tấn công có thể ăn cắp mật khẩu từ bất kỳ tên miền nào.
Lỗ hổng đầu tiên được Ormandy đề cập trên trang cá nhân của mình cho biết nó có thể tiết lộ mật khẩu của người dùng.
Lỗ hổng thứ hai có thể được xem là nghiêm trọng hơn khi nó không chỉ cho phép kẻ tấn công ăn cắp mật khẩu mà trong một số trường hợp nó cũng có thể được sử dụng để chạy mã độc hại trên máy tính nạn nhân. LastPass cho biết hôm 21.3 rằng vấn đề đã được giải quyết, nhưng sau đó một hôm (tức 22.3), LastPass thừa nhận trên blog của mình rằng vẫn còn một lỗi không được vá trong phần mở rộng của Firefox.
Lỗi cuối cùng mà Ormandy phát hiện liên quan đến phiên bản cũ của phần mở rộng LastPass trên Firefox, nhưng đã được sửa thông qua bản cập nhật mới nhất, ở thời điểm hiện tại là phiên bản 3.3.6.
Theo khuyến cáo, người dùng có thể vô hiệu hóa tiện ích mở rộng của LastPass dành cho các trình duyệt bị ảnh hưởng và thay thế bằng một dịch vụ tương tự khác, chẳng hạn KeePass – công cụ quản lý mật khẩu không hỗ trợ phần mở rộng nhằm đảm bảo an toàn cho khách hàng.
Đây không phải là vấn đề bảo mật nghiêm trọng đầu tiên mà LastPass gặp phải. Dịch vụ đã bị tấn công vào năm 2011 và tháng 6.2015. Trong năm 2013, một lỗi trên dịch vụ đã khiến nhiều mật khẩu trên trình duyệt Internet Explorer của người dùng bị tiết lộ.
Thành Luân
Theo Thanhnien
